从零开始学习菜鸟晋级黑客之木马工具详解+入门工具使用
现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己;二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程序的目的,可以知道这种程序应该具有以下性质:
伪装性:程序将自己的服务端伪装成合法程序,并且具有*力的让被攻击者执行,在程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中;
隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者很难发现系统中木马的存在;
破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作;
窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的黑客技术进行深入学习。
一、木马的原理:
大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统内的Server程序;另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别,大多数Server程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部,然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的确是在经过*后目标“心甘情愿”接收木马的,当Server安装成功后,黑客就可以通过Client控制程序对Server端进行各种操作了。
木马程序的Server端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实战:
先说国产木马老大,冰河-----你不得不了解的工具。
(编者残语:)说到冰河,也许在2005年的今天显得很落后,但冰河创造了一个时代,一个人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先从了解远程控制软件冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。
======================================================
软件功能概述:
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自行扩充,2.0以上版本还同时提供了击键记录功能;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。0 ~8 V4 K. n$ z/ _& h% Q8 K4 F7 `
一.文件列表:
1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等);
2. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。
二.准备工作:
冰河是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,所以首先应确保该协议已被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控的计算机上运行服务器端监控程序即可。
三.升级方法
由于冰河2.0的改版较大,所以2.0以后版本与以前各版本完全不兼容。为此只能向老用户提供一套升级方案:对于1.1版本的用户(好象已经没什么人用了),可以先用1.1或1.2版的CLIENT端将新版本的SERVER程序上传至被监控端,然后执行'文件打开'命令即可;对于1.2版本的用户相对简单,只要通过1.2版的CLIENT远程打开新版本的SERVER程序就可以自动升级了。2.0以后的各版本完全兼容。
'DARKSUN专版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻烦。如果您不能确定远程主机的冰河版本,在用'文件管理器'浏览目录前,最好先在工具栏下的'当前连接'列表框中选择打算连接的主机,然后直接点'升级1.2版本'按钮进行升级,如果返回的信息是'无法解释的命令',那说明远程主机安装了2.0以上版本,具体的版本及系统信息可以通过'命令控制台'的'口令类命令\\系统信息及口令\\系统信息'来查看
四.各模块简要说明:.
安装好服务器端监控程序后,运行客户端程序就可以对远程计算机进行监控了,客户端执行程序的各模块功能如下:
1. \"添加主机\": 将被监控端IP地址添加至主机列表,同时设置好访问口令及端口,设置将保存在'Operate.ini'文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主界面工具栏内重新输入访问口令及端口并保存设置;
2. \"删除主机\": 将被监控端IP地址从主机列表中删除(相关设置也将同时被清除);
3. \"自动搜索\": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的计算机,应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为'1'和'255');;
4. \"查看屏幕\": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\\捕获屏幕\\查看屏幕'
5. \"屏幕控制\": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\\捕获屏幕\\屏幕控制')。其余同\"查看屏幕\";
6. \"冰河信使\": 点对点聊天室,也就是传说中的'二人世界';
7. \"升级1.2版本\": 通过'DARKSUN专版'的冰河来升级远程1.2版本的服务器程序;
8. \"修改远程配置\": 在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效;
9. \"配置本地服务器程序\": 在安装前对'G_Server.exe'进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。
五.文件管理器操作说明:文件管理器对文件操作提供了下列鼠标操作功能:
1. 文件上传:右键单击欲上传的文件,选择'复制',在目的目录中粘贴即可。也可以在目的目录中选择'文件上传自',并选定欲上传的文件;
2. 文件下载:右键单击欲下载的文件,选择'复制',在目的目录中粘贴即可。也可以在选定欲下载的文件后选择'文件下载至',并选定目的目录及文件名;
3. 打开远程或本地文件:选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开',对于可执行文件若选择了'远程打开',可以进一步设置文件的运行方式和运行参数(运行参数可为空);
4. 删除文件或目录:选定欲删除的文件或目录,在弹出菜单中选择'删除';
5. 新建目录:在弹出菜单中选择'新建文件夹'并输入目录名即可;
6. 文件查找:选定查找路径,在弹出菜单中选择'文件查找',并输入文件名即可(支持通配符);
7. 拷贝整个目录(只限于被监控端本机):选定源目录并复制,选定目的目录并粘贴即可。
六.命令控制台主要命令
1. 口令类命令: 系统信息及口令、历史口令、击键记录;
2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等);
3. 网络类命令: 创建共享、删除共享、查看网络信息;
4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程);5
5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名;
6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。
七.使用技巧:
1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出菜单中选中'自动跟踪'项即可;
2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件;鼠标双击远程文件将先下载该文件至临时目录,然后在本地打开;
3. 在使用'网络共享创建'命令时,如果不希望其他人看到新创建的共享名,可以在共享名后加上'$'符号。自己欲浏览时只要在IE的地址栏或'开始菜单'的'运行'对话框内键入'\\\\[机器名]\\[共享名(含'$'符号)]即可;
4. 在1.2以后的版本中允许用户设定捕获图像的色深(1~7级),图像将按设定保存为2的N次方种颜色(N=2的次方),即1级为单色,2级为16色,3级为256色,依此类推。
需要说明的是如果将色深设为0或8则表示色深依被监控端当前的分辨率而定,适当减小色深可以提高图像的传输速度。
以后的版本新增了以JPEG格式传输图像的功能,以利于在INTERNET上传输图像,但这项功能只适用于2.1以上版本(制被控端),否则实际上仍是通过BMP图象格式传输,所以请先确认版本后再使用。
八.常见问题:
1. 安装不成功,该问题通常是由于TCP/IP协议安装或设置不正确所致;
2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框,该问题是由于系统设置了自动拨号属性。可以通过安装前定*务器程序来禁止自动拨号;
3. 可以连接但没有反应,通常是版本不匹配所致,因为1.2以前的版本设计上存在缺陷,所以如果您不能确定远程主机的冰河版本,最好先按照前面所说的升级办法试一下,否则被监控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法监控局域网内的机器,除非被控端是网关;
4. '更换墙纸'命令无效,这个问题的可能性太多了,较常见的原因是被监控端的桌面设置为'按WEB页查看';
5. 对被监控端进行文件或目录的增删操作后,少数情况不会自动刷新,可以通过或选择弹出菜单的'刷新'命令手动刷新;
6. 开机口令不正确,因为CMOS口令是单向编码,所以编码后的口令是不可逆也是不唯一的,冰河通过穷举算出来的口令可能与原口令不符,但也是有效口令。
7. 占用系统资源过高,其实准确的说应该是CPU利用率过高,系统资源占用并不算过分,这主要是不断探测口令信息(敏感字符)造成的,所以在'DARKSUN专版'中允许用户将该功能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌),只要在配置时清空'敏感字符'中的所有字符串就行了。
8. 如何卸载冰河,这是我解答次数最多的一个问题,其实冰河1.2正式版以后的各版本都在CLIENT端提供了彻底的卸载功能。对于1.2版本,请执行命令列表中的'自动卸载'命令,对其以后的版本,请执行'命令控制台'中的'控制类命令\\系统控制\\自动卸载冰河'。
有言:说说卸冰河木马方法和冰河的通用密码
很多朋友问我中了木马“冰河”有什么方法可以卸掉,其实很简单,有两个方法::
(1)用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后)
打不开本文文件了,那你可以用手动方法去卸。如果你觉得那个办法太麻烦,可以用我介绍的第二种方法。
(2)用“冰河”卸“冰河”: 如果你确定你的机器种了冰河,那你上网后开启冰河。 在增添主机那里添自己的IP。 然后电击自己的IP, 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会晕的啊。:)
冰河通用密码
3.0版:yzkzero.51.net
3.0版:yzkzero!
9 x; L, B; V8 l6 N3.1-netbug版密码: 123456!@
杀手专版:05181977!
2.2杀手专版:dzq2000! 很想学``可惜都不懂。。。抢个沙发先`
页:
[1]